Taguette密码重置链接投毒 · CVE-2025-62527
漏洞详情
包管理器: pip
受影响包: taguette (pip)
受影响版本: < 1.5.0
已修复版本: 1.5.0
漏洞描述
影响
在Taguette 1.5.0之前版本中发现了一个安全问题。攻击者能够请求包含恶意链接的密码重置邮件,如果受害者点击该链接,攻击者将能够设置受害者的邮箱。
修复补丁
用户应升级到Taguette 1.5.0版本。
参考链接
- GHSA-7rc8-5c8q-jr6j
- https://nvd.nist.gov/vuln/detail/CVE-2025-62527
安全评分
严重程度: 高危
CVSS总体评分: 7.1/10
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 需要
- 范围: 未改变
- 机密性影响: 高
- 完整性影响: 低
- 可用性影响: 无
CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
弱点分类
弱点: CWE-15
描述: 系统或配置设置的外部控制
一个或多个系统设置或配置元素可以被用户外部控制。
标识符
- CVE ID: CVE-2025-62527
- GHSA ID: GHSA-7rc8-5c8q-jr6j
源代码
- remram44/taguette
致谢
报告者: emilvirkki